West Digital(WD)儲存裝置一項存在近3年的漏洞遭到駭客開採,導致部份用戶資料全數被清空。

West Digital(WD)儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。

上周有WD用戶反映,他的WD My Book Live裝置儲存多年的資料都沒了,雖然還留有目錄,但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼登入控制UI,僅能在某個登入頁面輸入「owner password」

另一名用戶更發現,有人可不經任何許可,而能遠端將裝置回復到出廠設定,相信是資料被清空的原因。

WD隨後說明,經過研究,該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式碼執行漏洞(RCE)漏洞CVE-2018-18472遭到開採,在某些情況下,攻擊者可觸發回復出廠設定,可能是所有資料被抹除的主因。

WD檢視一些客戶的登入檔,發現攻擊者在不同國家多個不同IP位址連上My Book Live,顯示它們是可由網際網路直接存取,可能是直接連線,或是透過UPnP手動或自動傳輸埠轉發(port forwarding)功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式.nttpd,1-ppc-be-t1-z,這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。

受影響的產品包括2010年出售的My Book Live系列,這些裝置自2015年起就未再接獲韌體更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線,以免資料受害。

根據CVE-2018-18472的漏洞描述,該RCE漏洞位於/api/1.0/rest/language_configuration的語言參數的shell metacharacter中,可被知道裝置IP的人開採,以發送回覆出廠設定指令。

另有用戶通報,一些資料回復工具可以恢復受影響裝置的資料,WD也正在研究之中。

WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列,因為採取更新的安全架構,並不受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。

 參考資料 

Recommended Security Measures for WD My Book Live and WD My Book Live Duo (2021/06/24發布,06/25更新)

How to Access a My Book Live When Connected Directly to a Computer(2021/06/25發布,06/26更新)


熱門新聞

Advertisement